Řízení přístupu k událostem
Azure Event Hubs podporuje JAK ID Microsoft Entra, tak sdílené přístupové podpisy (SAS) pro zpracování ověřování i autorizace. Azure poskytuje následující předdefinované role Azure pro autorizaci přístupu k datům služby Event Hubs pomocí Microsoft Entra ID a OAuth:
- Vlastník dat služby Azure Event Hubs: Pomocí této role můžete poskytnout úplný přístup k prostředkům služby Event Hubs.
- Odesílatel dat služby Azure Event Hubs: Pomocí této role můžete udělit přístup k prostředkům služby Event Hubs.
- Příjemce dat azure Event Hubs: Pomocí této role můžete udělit přístup k prostředkům služby Event Hubs.
Autorizace přístupu pomocí spravovaných identit
Pokud chcete autorizovat požadavek na službu Event Hubs ze spravované identity ve vaší aplikaci, musíte pro tuto spravovanou identitu nakonfigurovat nastavení řízení přístupu na základě role v Azure. Azure Event Hubs definuje role Azure, které zahrnují oprávnění pro odesílání a čtení ze služby Event Hubs. Když je role Azure přiřazená ke spravované identitě, udělí se spravovaná identita přístupu k datům služby Event Hubs v příslušném oboru.
Autorizace přístupu pomocí platformy Microsoft Identity Platform
Klíčovou výhodou použití MICROSOFT Entra ID se službou Event Hubs je to, že vaše přihlašovací údaje už nemusí být uložené ve vašem kódu. Místo toho můžete požádat o přístupový token OAuth 2.0 z platformy Microsoft Identity Platform. Microsoft Entra ověřuje objekt zabezpečení (uživatel, skupina nebo instanční objekt), na kterém je aplikace spuštěná. Pokud ověřování proběhne úspěšně, vrátí Microsoft Entra ID přístupový token do aplikace a aplikace pak může použít přístupový token k autorizaci požadavků do služby Azure Event Hubs.
Autorizace přístupu k vydavatelům služby Event Hubs pomocí sdílených přístupových podpisů
Vydavatel události definuje virtuální koncový bod pro službu Event Hubs. Vydavatel je možné použít pouze k odesílání zpráv do centra událostí a k přijímání zpráv. Centrum událostí obvykle využívá jednoho vydavatele na klienta. Všechny zprávy, které se odesílají do libovolného vydavatele centra událostí, se začtou do fronty v rámci tohoto centra událostí. Vydavatelé umožňují jemně odstupňované řízení přístupu.
Každému klientovi služby Event Hubs je přiřazen jedinečný token, který se nahraje do klienta. Klient, který obsahuje token, může odesílat pouze jednomu vydavateli a žádnému jinému vydavateli. Pokud stejný token sdílí více klientů, pak každý z nich sdílí vydavatele.
Všechny tokeny jsou přiřazeny pomocí klíčů sdíleného přístupového podpisu. Obvykle jsou všechny tokeny podepsané stejným klíčem. Klienti si klíč neuvědomují, což brání klientům ve výrobě tokenů. Klienti pracují se stejnými tokeny, dokud nevyprší jejich platnost.
Autorizace přístupu ke příjemcům služby Event Hubs pomocí sdílených přístupových podpisů
Aby bylo možné ověřovat back-endové aplikace, které využívají data generovaná producenty služby Event Hubs, vyžaduje ověření tokenu Event Hubs, aby jeho klienti měli přiřazená oprávnění ke správě nebo oprávnění naslouchání k oboru názvů služby Event Hubs, instanci centra událostí nebo tématu. Data se využívají ze služby Event Hubs pomocí skupin příjemců. Zásady SAS sice poskytují podrobný rozsah, ale tento obor se definuje jenom na úrovni entity, nikoli na úrovni příjemce. To znamená, že oprávnění definovaná na úrovni oboru názvů nebo instance centra událostí nebo na úrovni tématu jsou určena skupinám příjemců dané entity.